Mehr Sicherheit in Exchange und Exchange Online Gruppen in Microsoft Exchange absichern

Von Thomas Joos

Anbieter zum Thema

Beim Einsatz von lokalen Exchange-Servern oder auch bei der Verwendung von Exchange Online in Microsoft 365 spielen Gruppen für die E-Mail-Verteilung eine wichtige Rolle. Hier sollte auch darauf geachtet werden, dass die Sicherheitsoptionen für die Gruppen so optimal wie möglich gesetzt sind, um Angriffe auf das Netzwerk oder Spammails zu verhindern.

Wir zeigen wie Sie Richtlinien, Sicherheit, Moderation und andere Funktionen für mehr Sicherheit in Exchange und Exchange Online nutzen.
Wir zeigen wie Sie Richtlinien, Sicherheit, Moderation und andere Funktionen für mehr Sicherheit in Exchange und Exchange Online nutzen.
(Bild: sdecoret - stock.adobe.com)

Bei der optimierten Verwaltung von Gruppen in Microsoft Exchange oder Exchange Online sind viele Sicherheitsfragen nicht nur durch Optionen in den Einstellungen zu finden, sondern auch in der Organisation der Gruppen. Bezüglich der Sicherheit gilt zunächst, dass natürlich die generell nur so viele Verteilergruppen zum Einsatz kommen sollten, wie unbedingt notwendig.

Jede weniger nützliche Gruppe stellt ein Sicherheitsrisiko dar und muss auch verwaltet werden. Viele Tipps in diesem Beitrag funktionieren in lokalen Exchange-Installationen, aber auch in Exchange Online. Auch hier lassen sich viele Einstellungen in Microsoft 365 bezüglich Exchange direkt im Exchange Online Admin Center vornehmen. Die URL des Exchange Online Admin Centers ist „https://admin.exchange.microsoft.com“.

Bildergalerie
Bildergalerie mit 10 Bildern

Verschachtelte Gruppen vermeiden

Dazu kommt die Organisationsstruktur der Gruppen. Sind diese zu verschachtelt, kann es schnell zu Problemen bei der Übersicht kommen, was ebenfalls zu Lasten der Übersicht geht. Auch hier sollte darauf geachtet werden, die Übersicht so gut wie möglich zu erhalten. Sind bereits verschachtelte Gruppen enthalten, lassen sich diese mit dem kostenlosen Skript „Find User in Nested Groups“ identifizieren und dadurch auch auflösen.

Benennungsrichtlinie für Verteilergruppen erstellen

Durch eine Benennungsrichtlinie für Verteilergruppen ist sichergestellt, dass die Gruppen immer einer vorgegebenen Norm entsprechen und dadurch auch leichter zu verwalten sind. Mit den Benennungsrichtlinien in Exchange können Suffix und Präfix der Gruppen gesteuert und bestimmte Wörter untersagt werden. Die Einstellungen dazu sind im Exchange Admin Center bei „Gruppen/Mehr“ über „Gruppenbenennungsrichtlinie konfigurieren“ oder „Benennungsrichtlinie hinzufügen zu finden. Diese Richtlinien können auch in der Exchange Management Shell angezeigt werden:

Get-OrganizationConfig | fl DistributionGroupNamingPolicy

Verteilergruppen verwalten – Moderation und Mitgliedschaftsgenehmigung

Welche Mitglieder eine Gruppe erhalten soll, kann durch die Mitgliedschaftsgenehmigung gesteuert werden. Das gilt auch für das Versenden von Nachrichten. Bevor an eine Gruppe geschickte Nachrichten zugestellt werden, kann ein Moderator dafür sorgen, dass Exchange nur genehmigte Nachrichten zustellt. Viele Einstellungen dazu sind bei „Empfänger/Gruppen“ zu finden. In den Eigenschaften von Gruppen kann mit „Besitz“ festgelegt werden, wer diese verwalten darf. Der Besitzer kann auch während der Erstellung einer Verteilgruppe definiert werden.

Bei „Mitgliedschaft“ kann in Exchange und Exchange Online festgelegt werden, ob eine Gruppe durch „Öffnen“ jeden Benutzer erlaubt Mitglied zu werden, oder ob ein Besitzer die Mitgliedschaft erst erlauben muss. Das geht über die Option „Genehmigung durch Besitzer“. Soll nur der Besitzer in der Lage sein manuell Mitglieder hinzuzufügen, kommt die Option „Geschlossen“ zum Einsatz.

Nach der Erstellung kann in den Eigenschaften von Gruppen bei „Zustellungsverwaltung“ festgelegt werden, wer das Rechte hat Nachrichten an diese Gruppe zu senden. Ebenfalls wichtig ist an dieser Stelle der Menüpunkt „Nachrichtengenehmigung“. Hier kann ein Moderator die Zustellung einzelner Nachrichten erlauben oder blockieren.

Verwaltung von Verteilergruppen delegieren

Auch in lokalen Exchange-Installationen ist es möglich die Verwaltung von Verteilergruppen zu delegieren. Dazu kann zum Beispiel eine neue Verwaltungsrollengruppe zum Einsatz kommen. In diesem Beispiel kann die Verwaltungsrollengruppe „MyDistrybutionGroup“ Mitglieder zu Verteilergruppen hinzufügen oder entfernen. Die Rechte der Verwaltungsrollengruppe kann in der Exchange Management Shell überprüft werden, zum Beispiel mit:

Get-ManagementRoleEntry -Identity MyDistributionGroups\*

Um eine eigene Verwaltungsrollengruppe in der Exchange Management Shell zu erstellen, kann der folgende Befehl zum Einsatz kommen:

New-ManagementRole -Parent "MyDistribution-Groups" -Name Contoso-MyDistributionGroups

Soll verhindert werden, dass die Anwender zukünftig Verteilergruppen anlegen und löschen dürfen, können die beiden folgenden Befehle zum Einsatz kommen:

Get-ManagementRoleEntry -Identity "Contoso-MyDistributionGroups\New-DistributionGroup" | Remove-ManagementRoleEntry

und

Get-ManagementRoleEntry -Identity "Contoso-MyDistributionGroups\Remove-DistributionGroup" | Remove-ManagementRoleEntry
Bildergalerie
Bildergalerie mit 10 Bildern

Wenn alle Rechte konfiguriert sind, können diese über eine Zuweisungsrollenrichtlinie an die Postfächer zugewiesen werden. Sie verwenden dazu das Exchange Admin Center und den Bereich „Berechtigungen\Benutzerrollen“. In den Eigenschaften der „Default Role Assignment Policy“ weisen Sie die neu erstellte Verwaltungsrollengruppe hinzu und bestätigen die Änderung.

(ID:48503367)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung